8.1.- Seguridad en la arquitectura de red.

Si ponemos todos los equipos en la misma red y se produce un ataque de seguridad entonces toda la red se verá comprometida. Las arquitecturas de seguridad se utilizan para que en caso de que haya una intrusión, se pueda limitar el acceso del intruso. Existen varias arquitecturas de red, desde la más sencilla, que utiliza simplemente un router, hasta otras más complejas, basadas en varios routers, proxys y redes perimetrales (o zonas neutras).

Antes de entrar en detalle con las arquitecturas de cortafuegos, se van a describir tres elementos básicos que intervienen en ella:

• Router. Equipo que permite o deniega las comunicaciones entre dos o más redes. Al ser el intermediario entre varias redes debe estar especialmente protegido, con el enrutamiento, ya que puede ser objeto de un ataque.
• Red interna. Es la red interna de la empresa y, por lo tanto, es donde se encuentran los equipos y servidores internos. Dependiendo del nivel de seguridad que necesite la red interna se puede dividir en varias redes para permitir o denegar el tráfico de una red a otra.
• Zona neutra (o red perimetral). Red añadida entre dos redes para proporcionar mayor protección a una de ellas. En esta red suelen estar ubicados los servidores de la empresa. Su principal objetivo es que ante una posible intrusión en unos de los servidores, se aísle la intrusión y no se permita el acceso a la red interna de la empresa.

 A continuación se muestran varios esquemas, comenzando por los más simples.

Esquema de red básico.

Es la configuración más simple y consiste en el empleo de un router para comunicar la red interna de la empresa con Internet. Como el router es el encargado de comunicar ambas redes es ideal para permitir o denegar el tráfico.

Esta arquitectura de red, aunque es la más sencilla de configurar es la más insegura de todas ya que toda la seguridad reside en un único punto: el router. En caso de que se produzca un fallo de seguridad en el router el atacante tiene acceso a toda la red interna.

Esta arquitectura es la usual en los domicilios y en pequeñas empresas.

Esquema de red con una zona neutra

En el anterior esquema, si se desea tener un servidor que ofrezca servicios a Internet hay que ubicarlo en la red interna. Es peligroso poner el servidor en la red interna ya que el router permite el tráfico al servidor y, en el caso de que se produzca un fallo de seguridad el atacante tiene acceso completo a la red interna. Para solucionar este problema se añade una nueva red a la empresa que se denomina zona neutra o zona desmilitarizada.

Esta arquitectura utiliza dos routers que permiten crear un perímetro de seguridad (red perimetral o zona neutra), en la que se pueden ubicar los servidores accesibles desde el exterior, protegiendo así a la red local de los atacantes externos.
En la imagen se muestra un esquema de red con una zona neutra y una red interna utilizando dos routers.

En este esquema el router exterior está configurado para permitir el acceso desde Internet a los servidores de la zona neutra, especificando los puertos utilizados, mientras que el router interior permite únicamente el tráfico saliente de la red interna al exterior. De esta forma si se produce un fallo de seguridad y se accede a los servidores de la zona neutra, el atacante nunca podrá tener acceso a la red interna de la empresa.

Se pueden realizar otras configuraciones con zona neutra. Se puede crear una zona neutra utilizando un único router con tres interfaces (que una tres redes, tiene que ser un router profesional, no valen los routers de los operadores telefónicos que solo unen dos redes)

Aunque este esquema no es tan fiable como el anterior resulta más aconsejable que el modelo básico que no tiene ninguna zona neutra.

Estos esquemas permiten distintas modificaciones. Por ejemplo en la imagen se muestra un esquema donde hay 2 routers con zona neutra y varias redes internas. En este caso se incrementa la seguridad entre las propias redes internas de la empresa.